check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

박나룡 CISO “조직 규모와 서비스 중요도 맞춰 정보보호 체계 구축해야”

“ISMS 인증이 지속적인 개선 툴이 될 수 있다”

길민권 기자 mkgil@dailysecu.com 2017년 12월 07일 목요일

▲ 박나룡 데일리마켓플레이스 CISO가 제21회 해킹방지워크샵에서 발표를 진행하고 있다.
▲ 박나룡 데일리마켓플레이스 CISO가 제21회 해킹방지워크샵에서 발표를 진행하고 있다.
한국침해사고대응팀협의회(CONCERT. 회장 원유재)는 6일 여의도 전경련회관 컨퍼런스센터에서 국내 정보보호 실무자 900여 명이 참석한 가운데 제21회 해킹방지워크샵을 성황리에 개최했다.

이 자리에서 박나룡 데일리마켓플레이스 CISO(정보보안실 실장)는 ‘서비스 시작을 앞두고 무엇을 점검하겠습니까?’란 주제로 강연을 진행했다. 데일리마켓플레이스는 자산관리 앱 ‘브로콜리’를 출시해 사업을 확장하고 있다.

박 실장은 “정보보호도 건축과 비슷하다. 조직의 규모에 맞게 정보보호 체계를 구축하는것이 필요하다. 즉 모든 조직이 스페인 바르셀로나에 있는 가우디가 설계한 파밀리아 성당과 같은 정도의 규모로 정보보호를 할 필요는 없다. 조직의 규모와 특성 그리고 서비스의 중요도에 따라 그에 맞는 보안설계를 하는 것이 필요하다”고 강조했다.

이어 서비스 시작 전에 정보보호를 어떻게 준비해야 하는지에 대해 그는 조직의 사이즈와 서비스의 중요도(우선순위), 예산과 인력에 따라 준비해야 한다고 전했다.

특히 정보보호를 위한 최소 요구조건을 갖춰야 한다고 강조하며, 서비스 기획단계부터 개인정보를 다루고 있는지, 정보보호 관련 법률에 규제를 받는 서비스인지, 내부 규정에 관련 내용이 있는지 등에 대한 체크리스트를 만들고 여기에 컴플라이언스 준수를 위한 내용들이 녹아들어야 한다고 설명했다.

서비스 개발단계에서는 시큐어코딩을 원칙으로 하고 코드상의 취약점, 소스코드 관리, 권한과 계정, 인증 등 기본적인 보안설정을 체크해야 한다. 방화벽 관리도 안되는데 블록체인하겠다는 기업도 있다. 중소기업들은 원격통제도 부족한 기업들이 많다. 먼저 기본적인 보안요건들을 충족시키는 것이 중요하다.

서비스 단계에서는 취약점 관리, 사용자 관리, 휴먼에러/히스토리 관리 등이 필요하다. 서비스가 진행되면서 변경이 되고 이런 과정에서 보안성이 현저히 떨어지는 경우가 많다. 코드를 추가하고 변경하는 과정에서 보안성 검사를 놓치지 말아야 한다고 강조했다. 즉 박 실장은 기본적인 보안요구사항들이 제대로 이루어지고 있는지 점검하는데 집중하라고 말한다.

그는 이어 “ISMS 인증이 지속적인 개선 툴이 될 수 있다. 최소 보안요구 조건을 지속적으로 충족시키기 위한 최선의 방안이 ISMS 인증이 될 수 있다는 것”이라며 “해킹을 당했다고 해서 그 조직이 정보보호를 실패했다고 볼 수 없다. 해킹 여부에 따라 정보보호 활동을 잘했다 잘못했다 판단할 수 없다고 생각한다. 해킹을 당하지 않으려면 모든 사업을 접어야 한다. 하지만 비즈니스를 위해 불가능하기 때문에 정보보호 조직은 자신들이 활용할 수 있는 예산과 인력 그리고 조직의 규모와 서비스 상황에 따라 그에 맞는 보안수준을 달리하고 내부 프로세스를 잘 구성해야 한다. 이를 위해서는 ISMS 인증이 큰 역할을 할 수 있다”고 전했다.

서비스 점검시 가장 중요한 것은 기본적인 보안에 충실해야 한다는 것이다. 당연하고 기본적인 것을 점검하지 않고 소홀히 하면서 새로운 보안에 눈을 돌리는 것은 지양해야 한다는 것이다.

박 실장은 마지막으로 “ISMS 인증심사를 오랜 기간 해 왔다. 가장 많이 지적되는 부분이 접근통제시 방화벽 정책을 제대로 안하고 있는 기업들이 너무 많다. 또 보안정책만 세웠지 이 정책들이 조직문화에 내재화되지 않고 보안팀과 임직원들간 인식이 동떨어져 있는 조직이 많다. 이런 부분에 대한 적극적인 개선이 필요하다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록